Най-накрая приключих тази доста тежка за четене книга. След като 2 месеца се рових из книжарниците, за да я открия, ми отне още толкова, за да я прочета. Изключително немърлив превод, което е донякъде нормално за първо издание, но определено дразни много! Дори и децата в началното учлище знаят, че “Operating system” по нашенски е операционна система, а не “оперативна система”.

Общо взето в сюжета на описаните похвати на социалния инжинер се върти едно и също. Този похват придобива не малки престъпни измерения и в нашата страна през последната година. Докато Кевин Митник е описал как социалните инжинери се възползват от това, за да се сдобият с нужна им на тях информация, при нас днес новоизродените социални инжинери усъществяват телефонни измами. Изнудват хора за пари и прочие. Можете да си направите една малка справка, само като напишете в Гугъл – телефнни измами или пък измами по телефона. Едва ли това би спряло или би могло да бъде увладяно. Напротив! То ще еволюира и то вероятно доста по-бързо. Измамниците ще стават все по-добри. Беше установено скоро, че в телефонните измами са участвали и полицаи. Това само по себе си говори, колко доходоносен “бизнес” стават телефнните измами.

Е приятели – пазете се! Най-малкото при съмнителни обаждания е да се уверите, че човекът отдругата страна е наистина този, за който се представя. Поискайте обратен телефон!

www.mdaar.government.bg – МИНИСТЕРСТВО НА ДЪРЖАВНАТА АДМИНИСТРАЦИЯ И АДМИНИСТРАТИВНАТА РЕФОРМА

След като прочетох това: http://blog.veni.com/?p=390 ,а броени минути след това и отговора на министъра по поставените въпроси (http://www.mdaar.government.bg/news.php?full=486) реших да се поровя и в техният сайт. Да поразгледам какво, що и как…

Първо: След две заявки в търсачката им сървърчето спича за няколко минути и на сайта им се изписва следното съобщение “Няма връзка със сървъра… Моля, опитайте след малко…” – Скрийншот

Второ: OS Windows + IIS webserver 6.0 – това май обяснява до някъде спичането в първото.

Трето: XSS в търсачката – Скрийншот

Четвърто: SQL Injection в търсачката (Засега няма да предоставям скрийншот, че може да стане напечено )

Е засега толкова.

За 2 дни проверих 7 министерски сайта, на различни институции. От тези седем в пет от тях открих различни пропуски в сигурността им. Беше изпратен имейл на всички администратори, но отговор не получих. Интересно защо им се плаща на тези “системни администратори”, може би за да си поддържат уиндоуските сървъри с XAMPP?

www.mfa.government.bg – Министерство на външните работи
SQL Injection
Скрийншот

Изпратен е имейл отностно уязвимостта

www.mvr.bg – Министерсвто на Вътрешните Работи
XSS проблем
Скрийншот

Изпратен е имейл до администратора на сайта

www.mrrb.government.bg Министерство на регионалното развитие и благоустройството
XSS проблем

Скрийншот

Изпратен е имейл до aдминистратора на сайта

www.mi.government.bg – Министерство на Икономиката и Енергетиката
SQL Injection + XSS
Скрийншот за SQL Injection
Скрийншот за XSS

Изпратен е имейл до администратора на сайта с проблема

Направих нова под категория на “IT зарибявки”, а именно – Сигурност. Тук ще публикувам проблеми, които съм открил по сайтове и ще ги изпращам на уеб мастърите им, за да ги отстранят.

mon.bg – официален сайт на “Министерство на Образованието и Науката”
XSS проблем в търсачката
Скрийншот

Изпратен е репорт чрез контактната форма в сайта